La gestión de riesgos de ciberseguridad es uno de los mayores desafíos de los tiempos actuales, máxime ante la acelerada digitalización y cuando un ecosistema digital 100 por ciento seguro no es posible; sin embargo, el camino debería asumir una coordinación y homologación de acciones preventivas, intercambio de información sobre los ataques, así como la atención de incidentes y persecución efectiva de los delitos cibernéticos por parte del sistema judicial.
“Pareciera que está en el interés de todos coordinarnos y compartir información, pero la verdad es que en la vida real a muy pocas pocas instituciones, incluso a individuos, les gusta compartir que algo pasó, porque lo que vas a dar son malas noticias y son malas noticias de algo que tu creías que funcionaba y no está funcionando. Compartir eso es algo que no está en nuestra naturaleza”, explicó Alejandro de los Santos, Director de Ciberseguridad del Banco de México (Banxico).
Recalcó la importancia del tema, pues se trata de proteger los recursos financieros y la privacidad de las personas, no sólo sistemas de telecomunicaciones, por lo que es conveniente realizar acciones desde una visión holística que no quede en una política demasiado general, puesto que varias instituciones como la Comisión Nacional Bancaria y de Valores (CNBV) ya trabaja en la prevención y homologación de reglas.
“Lo que hemos detectado nosotros es que hay acciones en muchos sectores, donde se ha tratado de atender y se han hecho los mejores esfuerzos, con mayores o mejores niveles de éxito, pero las circunstancias y capacidades son distintas, y entonces cada quien va intentando protegerse y haciendo lo que puede”.
En la mesa “Hacia una política nacional de ciberseguridad”, De los Santos subrayó la gran oportunidad de generar una estrategia y una política nacional, un esquema que ayude a coordinar esfuerzos, obligue a compartir información y se cuente con un marco más amplio para cubrir todos los aspectos de la seguridad.
“Tiene que haber una política que nos obligue y que nos haga ver los beneficios de que compartir y coordinar acciones es algo benéfico para todo el ecosistema, no sólo para la institución, y no se trata tampoco de victimizar a la institución que tuvo un problema, sino de ayudarle”.
Aunado a ese reto, el director de ciberseguridad del Banxico identifica como otro de los grandes desafíos la persecución de delitos cibernéticos, con mecanismos claros para dar seguimiento a las carpetas de investigación, con consecuencias graves para los delincuentes.
“Hasta ahora son muy pocos los casos en los que ha habido consecuencias y es importante que las haya. Y una política que contemple no sólo el tema antes, durante y de respuesta, sino después de los incidentes, cuáles son las consecuencias, si no tenemos una política que contemple todo el espectro, estaría incompleta”.
En su momento, en la mesa “Acciones y estándares para garantizar la seguridad en redes, dispositivos e infraestructura”, Mario de la Cruz, vicepresidente de Ciberseguridad de la Canieti, coincidió en que México como una de las economías más importantes en Latinoamérica no es ajena a los ciberataques, por lo que se requiere una estrategia integral, con un ente gubernamental encargado de su coordinación, así como de un protocolo para compartir información de ataques para una mayor coordinación en el combate a ciberdelitos.
“Se tiene que crear un protocolo nacional para compartir información de ataques cibernéticos. A nadie le gusta reconocer que ha sido vulnerado, por temas de prestigio, modelos de negocio, o posibles afectaciones, pero tenemos que compartir información para saber qué fue lo que pasó y prevenir futuros ataques. También tiene que haber reglas de cumplimiento en materia de ciberseguridad en el sector público y privado”.
Al exponer su punto de vista, Gabriel Székely, director general de la Asociación Nacional de Telecomunicaciones (Anatel), recalcó que además de las obligaciones que tengan los sectores públicos y privados también se requiere de una sociedad informada y participativa, los usuarios, que son tratados muchas veces de manera sobreprotectora.
“Gobierno, empresa y operadores pueden hacer lo que les toca, pero nunca será suficiente sin el apoyo de una sociedad informada y participativa; somos demasiado protectores, pero la verdad es que sin el involucramiento del individuo nada va a funcionar como debe de ser”, aseguró.
El director de la Anatel, también se refirió a la necesidad de que existan certificaciones y obligaciones para atacar el problema.
“Lo que más podemos hacer es mitigar el problema y no garantizar la seguridad, porque eso no existe. Ahora, hay de mitigar a mitigar… Algunos sí invierten mucho más y otros no invierten lo que deberían… Una política pública puede ser útil para que haya certificaciones y obligaciones”, concluyó.
C$T-EVP
